S’il y a bien une constante dans l’humanité, ce sont les actes malveillants. En informatique, les spécialistes des actes malveillants sont appelés hackers ou pirates. Ils s’attaquent à tout et à tout le monde mais peuvent cibler leurs attaques également. Les victimes sont aussi bien les particuliers que les entreprises, le matériel comme les données ou les personnes.
3 types de hackers
Hacker malveillant ou black hat
Il s’agit du hacker que tout le monde imagine, il s’introduit dans un réseau sans y être autorisé et y sème la pagaille. Il peut agir par jeu ou par défi, mais bien souvent les intrusions se révèlent monnayables. Il peut détourner de l’argent, revendre les données qu’il obtient ou bien encore être payé pour « détruire » un réseau.
Quoi de mieux qu’un professionnel pour travailler aussi efficacement qu’un autre professionnel ? C’est en partant de cet adage que le métier de hacker éthique a vu le jour. Ces hackers ont pour mission de tester les potentielles failles du réseau de l’entreprise. Avec l’évolution technologique, leur mission évolue peu à peu et aujourd’hui ils testent également les réseaux sociaux ainsi que les technologies mobiles.
Hacker éthique ou white hat
Il s’agit d’un hacker qui effectue légalement des intrusions suivant un accord avec une entreprise. Leur but est d’aider à l’amélioration d’un système avant qu’un hacker mal intentionné ne profite des failles qui auraient été relevées.
Grey hat
C’est un hacker qui agit comme un white hat, il respecte la majorité des lois en vigueur mais se permet parfois de légers écarts pour plus d’efficacité.
Missions Red Team
Le principe est d’embaucher une équipe de hackers éthiques appelée red team afin de faire des tests d’intrusion et de la sorte pouvoir vérifier l’efficacité des moyens de protection, qu’ils soient techniques ou humains. Pendant plusieurs semaines la red team réalise différentes attaques effectuées en conditions réelles, l’équipe de sécurité de l’entreprise (blue team) ne saura pas quelles seront les cibles de la red team afin de tester son efficacité.
Intrusions manuelles et automatisées
Afin d’éprouver au mieux la sécurité de l’entreprise, la red team passera par différentes intrusions.
Les intrusions manuelles sont longues (plusieurs semaines parfois) et plus coûteuses que les automatisées. Ces dernières permettent un coût réduit car prennent moins de temps. Elles peuvent également être lancées à toutes heures du jour et de la nuit puisqu’elles ne sont pas conditionnées par les horaires de travail de l’entreprise. Elles sont aussi efficaces qu’une intrusion par un hacker, et ne sont donc pas à exécuter par une personne non formée. Cela pourrait causer davantage de dommages que les bénéfices espérés. De plus elles ne sont pas aussi flexibles qu’un véritable hacker et ne peuvent substituer à un test manuel complet.
Etapes d’une intrusion
Des études ont permis de voir que les black hats agissent selon des étapes bien définies, une red team agira donc selon les mêmes procédés. Pour mieux pouvoir prévenir les attaques et tester la sécurité, il faut agir comme un vrai hacker le ferait. Préparer une intrusion est donc important, cela permet d’organiser et d’optimiser les étapes suivantes selon les résultats obtenus lors des opérations précédentes. Voici donc une vue globale des différentes étapes, elles peuvent varier en nombre et en nom selon les méthodologies utilisées mais on les retrouvera dans tous les cas.
Reconnaissance
Durant la reconnaissance, le hacker récoltera un maximum d’informations sur les cibles. Cela peut passer par connaître les personnes, le matériel, le réseau et parfois même des tiers. Ces informations pourront permettre de repérer des failles potentielles et donc de cibler par où commencer l’attaque.
Pour obtenir ces informations, il est possible de n’avoir aucun contact avec la cible et de ne passer par exemple que par de la recherche sur internet, il s’agit de reconnaissance passive. Les réseaux sociaux sont notamment une mine d’informations très importante, tout comme les archives publiques ou bien la presse.
Mais parfois le hackeur ira en reconnaissance active, il ira directement poser des questions aux employés ou pourra également analyser le réseau via des outils non intrusifs.
Analyse
Il s’agira de reconnaître la totalité du réseau et de ce qui le compose, ce sera donc la phase de pré-attaque. Plusieurs outils permettent cette analyse comme par exemple des mappeurs réseau ou des scanners de ports et de vulnérabilités. Le but est de trouver par quelle porte on pourra passer pour entrer dans le réseau et connaître également les outils que l’entreprise aura développés afin de détecter les intrusions. Cela permettra de pouvoir « s’évader » en toute discrétion lors de l’attaque effective.
Obtention d’accès et exploitation
Cette étape est celle où le hacker arrive à accéder à un système ou une applicationSe dit souvent application mobile. Se télécharge à titre gratuit ou payant depuis le système d’exploitation d’un smartphone ou d’une tablette. et obtient un maximum d’informations dans la mesure du possible. Pour en arriver là il aura obtenu des mots de passes et trouvé des failles et à ce stade il pourrait déjà compromettre les systèmes du réseau sans même passer par un compte administrateur.
Maintien des accès
Afin de pouvoir récupérer des données à n’importe quel moment, il faut garder le contrôle du système. Pour ce faire, le hacker installera différents outils comme des chevaux de Troie ou encore des rootkits. Il pourra également utiliser des outils qui permettent d’effacer l’historique donc ses traces, ou bien il le fera manuellement.
A ce stade il aura un accès en permanence aux applications et pourra donc y télécharger des données ou les modifier quand il le souhaite et toujours à distance. Comme ces outils sont furtifs, il sera presque impossible pour les utilisateurs ou les administrateurs réseau de remarquer la présence du hacker. Il pourra également utiliser les systèmes précédemment hackés pour lancer des attaques sur d’autres réseaux.
Rester dans l’ombre
La dernière chose que souhaite un hacker c’est se faire repérer, il fera donc en sorte de cacher toutes ses traces en permanence. Il s’assurera que tous les outils et logiciels malveillants installés ne soient pas visibles par les antivirus ou les administrateurs et veillera à ce qu’il n’y ait aucune trace de son passage dans les historiques.
Afin de rester caché il optimisera aussi ses techniques d’évasion entre autres via l’espionnage d’adresses IP ; il fera en sorte de les rediriger vers de fausses pistes
Trouvez en moins de 5 minutes le logiciel qui convient à vos besoins !
Différents types d’intrusions
Voici une liste non exhaustive des attaques les plus courantes qui sont pratiquées par les white comme les black hats. Certaines de ces techniques peuvent être contrées par les services informatiques, d’autres cependant peuvent en être complètement indépendantes.
Réseau sans fil
Vous aurez souvent entendu qu’il faut éviter de se connecter aux réseaux publics sans fil. La raison est toute simple, ils sont accessibles à tous, faiblement protégés et toutes sortes de données y transitent. Il s’agit donc d’une cible évidente pour un hacker, pour ne pas dire un terrain de jeu.
Dans une entreprise le réseau sans fil sera bien évidemment plus confidentiel et mieux protégé, bien souvent il sera même totalement indépendant du réseau filaire. Cependant il reste une cible également, le hacker aura pour but d’identifier les failles et les erreurs de sécurité ainsi que le fonctionnement du réseau wifi.
Déni de service
Il s’agit d’une attaque qui fait partie des plus connues, notamment sous le nom DDos attack (Distributed Denial of service attack) ; le principe est simple, « perdre » le réseau par un trafic très important et de ce fait le rendre indisponible. Pour cela on peut utiliser différentes techniques :
Envoyer une quantité extrêmement importante de données vers la box internet.
Perturber la connexion entre deux machines (idéalement des serveurs qui fonctionnent ensemble) pour bloquer l’accès à un service bien précis.
Bloquer l’accès à un service à une personne en particulier.
Inonder le réseau afin de le saturer
Téléphones
Cette technique est nommée war dialing, il s’agit d’appeler au kilomètre de nombreux numéros de téléphones afin d’identifier les modems, accès à distance et dispositifs de maintenance.
Il s’agira, une fois que les cibles sont connues, d’obtenir identifiants et mots de passes afin de voir si ces cibles peuvent aider à pénétrer le système de sécurité des informations.
Applications web
Beaucoup d’entreprises vendent un bon nombre d’applications professionnelles sur internet, l’intérêt est donc d’évaluer le cryptage des informations confidentielles et sensibles, les mots de passes des différents comptes utilisateurs et administrateurs ainsi que la sécurité même des applications.
Comme il s’agit du principal moteur de recherche dans le monde, Google est une mine d’informations extrêmement importante et pertinente. Il sera utilisé pour trouver des informations personnelles ou sensibles via la fonction d’optimisation des résultats de recherche.
Social Engineering
De manière générale, il apparaît que les attaques les plus efficaces sont celles de social engineering. Le principe est de manipuler ou tromper les employés afin d’obtenir des informations sensibles voir des identifiants et mots de passes en se faisant passer pour des responsables informatiques.
Rapport final
A la fin de la mission, un rapport est fourni à l’entreprise. Il contient 4 sections principales.
Une synthèse générale à l’attention de la direction et des différents responsables. Elle contiendra un résumé de la mission avec les différentes analyses de risques et une évaluation des efforts à mener.
Un plan d’action recommandé où figurent par ordre de priorité les actions à entreprendre pour améliorer la sécurité.
Les différents scénarios d’attaques réussies ou échouées avec les actions menées par la blue team pour les empêcher.
Les vulnérabilités découvertes lors de la mission, avec l’évaluation de leur risque ainsi que les corrections à apporter. Figurent aussi pour ces vulnérabilités les différentes étapes ayant servi à leur exploitation. Cette section est à l’attention du personnel opérationnel et technique.
Limites du hacking éthique
La solution unique qui résout tous les problèmes n’existe pas, c’est également le cas des tests d’intrusions.
La première limite est celle de l’évolution technologique et donc des outils utilisés. L’informatique évolue sans cesse, les besoins font de même et de ce fait les failles que l’on peut découvrir aussi.
Ensuite lors de l’élaboration du contrat, il est très probable que des accords auront été signés avec la red team afin qu’elle n’essaye pas d’accéder à certaines données, machines ou applications bien précises et ultraconfidentielles. Ne pas laisser accès à 100% du réseau au pirate éthique, c’est donc laisser une potentielle porte d’accès à des pirates mal intentionnés.
De là découle aussi la question légale, qu’un black hat ne prendra pas en compte contrairement au white hat. Et selon les entreprises, les données ne sont pas toujours dans le même pays donc ne sont pas soumises aux mêmes lois, tout cela pourra également empêcher certaines actions sur le réseau.
Reste également la question financière, elle aussi peut rendre l’auditExpertise professionnelle permettant de juger l’état d’un dossier, processus ou système dans l’entreprise. Peut-être un audit de système d’information. moins efficace. Plus on réduit la dépense, moins le test se prolonge dans la durée ; il y a donc de fortes chances de passer à côté de certaines failles faute de temps.
Un secteur en forte croissance
Depuis 2016, le nombre d’offres françaises pour des hackers éthiques a augmenté mensuellement de 11% ; il y a donc une forte augmentation de la demande. Cependant les profils recherchés sont rares, d’autant qu’il n’existe pas de formation dans ce domaine. Apprendre à des élèves le piratage pose une question éthique, et garantir que l’enseignement ne servira pas les hackers malveillants de demain n’est pas possible.
A l’heure actuelle il existe une certification du hacking éthique, condition requise pour un tiers des offres. De même, la moitié des entreprises souhaitent un niveau d’ingénieur informatique lorsqu’elles font appel à un hacker éthique. Les conditions pour exercer sont donc importantes, et la demande en France faible en regard de nos voisins européens qui proposent entre 1,5 et 7 fois plus d’offres dans ce domaine.
Malgré les nombreuses questions sur le métier, les entreprises font malgré tout plus facilement appel aux white hats, et l’efficacité de leurs tests n’est plus à démontrer. Ils jouent un rôle important en matière de sécurité, et ils seront des acteurs importants du 21ème siècle.